Dass Verstöße gegen die DSGVO teuer werden können, musste kürzlich der Immobilienkonzern Deutsche Wohnen nach einem Bußgeldbescheid der Berliner Datenschutzbehörde erfahren: Das Unternehmen hatte Daten auf einem Archivsystem gespeichert, auf dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. An diesem Zustand hatte sich auch nach Aufforderung durch die Behörde nichts geändert
Ein wesentlicher Grund für das hohe Interesse an der Datenschutz-Grundverordnung (DSGVO) ist nicht immer der Datenschutz an sich, sondern die Sorge, eine Datenschutzverletzung könne zu einem empfindlichen Bußgeld führen.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) will die Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts erhöhen und hat im Oktober 2019 ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen veröffentlicht.
Das Konzept gestaltet im Wesentlichen die Vorgaben des Artikels 83 DSGVO aus. Dort findet man auch Aussagen dazu, wie sich die richtige Meldung einer Datenschutzverletzung auf ein Bußgeld auswirken wird.
Einzelne Aspekte
Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Höhe wird unter anderem berücksichtigt:
- Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.
die mögliche Höhe eines Bußgeldes Wer also wegen der möglichen Bußgelder besorgt ist, sollte sich mit diesen Punkten eingehender befassen als zu versuchen, vorab zu ermitteln.
Bußgeld bei Meldung einer Datenpanne?
Mit der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG) wird klargestellt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder seine Angehörigen nur mit Zustimmung des Meldepflichtigen verwendet werden darf. Gleiches gilt bei der Einleitung eines Strafverfahrens nach § 42 BDSG.
Verantwortliche müssen daher bei einer Meldung nicht fürchten, dass auf dieser Grundlage ein Bußgeldverfahren eingeleitet wird.
„Es stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“, erklärte bereits der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit.
Allerdings ist zu beachten: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Daher raten die Aufsichtsbehörden dringend, bei Verletzungen des Schutzes personenbezogener Daten eine Meldung zu machen. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, ist dies in jedem Fall sorgfältig zu dokumentieren und zu begründen.
Wenn hingegen Dritte die Datenpanne melden, dann steht die Frage im Raum, warum die Verantwortlichen diese Panne nicht selbst gemeldet haben.
Wann genau davon auszugehen ist, dass einem Verantwortlichen eine bestimmte Datenschutzverletzung „bekannt“ wurde, hängt von den konkreten Umständen der Datenschutzverletzung ab. In einigen Fällen dürfte von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt, in anderen hingegen kann womöglich erst nach einer gewissen Zeit festgestellt werden, ob personenbezogene Daten beeinträchtigt wurden.
Der Schwerpunkt sollte in jedem Falle auf sofortigen Maßnahmen zur Untersuchung des Vorfalls liegen. Dabei ist primär festzustellen, ob zwingende Vorgaben zum Schutz personenbezogener Daten tatsächlich verletzt wurden. Ist dies der Fall, sind Abhilfemaßnahmen zu ergreifen und die Datenschutzverletzung gegebenenfalls zu melden, falls sich diese bestätigt.
